Google o zmene prístupu k spracovaniu zmiešaného obsahu na stránkach otvorených cez HTTPS. Ak sa predtým na stránkach otvorených cez HTTPS nachádzali komponenty, ktoré boli načítané z bez šifrovania (cez protokol http://), zobrazoval sa špeciálny indikátor. V budúcnosti bolo rozhodnuté štandardne blokovať načítanie takýchto zdrojov. Preto bude zaručené, že stránky otvorené cez „https://“ budú obsahovať iba zdroje stiahnuté cez zabezpečený komunikačný kanál.
Je potrebné poznamenať, že v súčasnosti viac ako 90 % stránok otvára používatelia prehliadača Chrome pomocou protokolu HTTPS. Prítomnosť vložiek načítaných bez šifrovania vytvára bezpečnostné hrozby prostredníctvom úpravy nechráneného obsahu, ak existuje kontrola nad komunikačným kanálom (napríklad pri pripojení cez otvorenú Wi-Fi). Zistilo sa, že indikátor zmiešaného obsahu je neefektívny a pre používateľa zavádzajúci, keďže neposkytuje jasné hodnotenie bezpečnosti stránky.
V súčasnosti sú najnebezpečnejšie typy zmiešaného obsahu, ako sú skripty a prvky iframe, už v predvolenom nastavení blokované, ale obrázky, zvukové súbory a videá je stále možné sťahovať cez http://. Prostredníctvom spoofingu obrázkov môže útočník nahradiť súbory cookie na sledovanie používateľov, pokúsiť sa zneužiť slabé miesta v procesoroch obrázkov alebo sfalšovať nahradením informácií poskytnutých v obrázku.
Zavedenie blokovania je rozdelené do niekoľkých etáp. Chrome 79, naplánovaný na 10. decembra, bude obsahovať nové nastavenie, ktoré vám umožní zakázať blokovanie pre konkrétne stránky. Toto nastavenie sa použije na zmiešaný obsah, ktorý je už zablokovaný, ako sú skripty a prvky iframe, a vyvolá sa prostredníctvom ponuky, ktorá sa rozbalí po kliknutí na symbol zámku a nahradí predtým navrhovaný indikátor na deaktiváciu blokovania.
Chrome 80, ktorý sa očakáva 4. februára, bude používať schému mäkkého blokovania pre zvukové a video súbory, čo znamená automatické nahradenie odkazov http:// za https://, čo zachová funkčnosť, ak je problematický zdroj prístupný aj cez HTTPS. . Obrázky sa budú naďalej načítavať bez zmien, ale ak sa stiahnu cez http://, na stránkach https:// sa zobrazí indikátor nezabezpečeného pripojenia pre celú stránku. Na automatickú zmenu na https alebo blokovanie obrázkov budú môcť vývojári stránok použiť vlastnosti CSP upgrade-insecure-requests a block-all-mixed-content. Chrome 81, naplánovaný na 17. marca, automaticky opraví http:// na https:// pre zmiešané nahrávanie obrázkov.
Okrem toho Google o integrácii nového komponentu Password Checkup do jedného z ďalších vydaní prehliadača Chome vo forme . Integrácia povedie k tomu, že sa v bežnom správcovi hesiel prehliadača Chrome zobrazia nástroje na analýzu spoľahlivosti hesiel používaných používateľom. Keď sa pokúsite prihlásiť na ľubovoľnú stránku, vaše prihlasovacie meno a heslo sa skontrolujú oproti databáze napadnutých účtov a v prípade zistenia problémov sa zobrazí varovanie. Kontrola sa vykonáva s databázou, ktorá zahŕňa viac ako 4 miliardy napadnutých účtov, ktoré sa objavili v uniknutých databázach používateľov. Upozornenie sa zobrazí aj vtedy, ak sa pokúsite použiť triviálne heslá, ako napríklad „abc123“ (od Google 23 % Američanov používa podobné heslá), alebo keď používajú rovnaké heslo na viacerých stránkach.
Aby sa zachovala dôvernosť, pri prístupe k externému API sa prenášajú iba prvé dva bajty hash prihlasovacieho mena a hesla (používa sa hashovací algoritmus ). Úplný hash je zašifrovaný kľúčom vygenerovaným na strane používateľa. Pôvodné hashe v databáze Google sú tiež dodatočne zašifrované a na indexovanie zostávajú len prvé dva bajty hashu. Konečné overenie hashov, ktoré spadajú pod prenášaný dvojbajtový prefix, sa vykonáva na strane používateľa pomocou kryptografickej technológie““, v ktorom žiadna zo strán nepozná obsah kontrolovaných údajov. Na ochranu pred zistením obsahu databázy napadnutých účtov hrubou silou s požiadavkou na ľubovoľné prefixy sú prenášané dáta šifrované v spojení s kľúčom vygenerovaným na základe overenej kombinácie loginu a hesla.
Zdroj: opennet.ru